viele Cookie-banner rechtswidrig

    Die DSK legt uns noch ein "schönes" Weihnachtsgeschenk unter den Baum...

    23. Dezember 2021

    Wir erinnern uns: Am 1. Dezember 2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, welches mit § 25 TTDSG Regelungen zum Einsatz von Cookies und vergleichbaren Technologien beinhaltet. Daraufhin aktualisierte nun die DSK (Datenschutzkonferenz) ihre "Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien".

     

    Die von den Aufsichtsbehörden aufgestellten Prüfkriterien dürften für Aufregung sorgen. Viele von Ihnen nutzen sicherlich ein Cookie-Consent-Tool (Cookie-Banner etc.), der zwei Button hat: Der eine Button heißt z. B. "Alle Cookies akzeptieren" und der andere Button heißt vielleicht "Einstellungen". Und genau diese Umsetzung hält die DSK für unzulässig. Eine wirksame "Cookie-Einwilligung" liegt demnach nur vor, wenn Sie dem Websitebesucher zwei Handlungsmöglichkeiten zur Auswahl geben, die gleich schnell zum Ziel führen, um Ihre Website besuchen zu können. Mit dem Button "Einstellungen" können die Websitebesucher weder das Setzen von Cookies ablehnen noch eine sonstige Willenserklärung abgeben. Schlimmer noch, sie müssen noch weitere Handlungsschritte einleiten, Checkboxen anhaken, um schlussendlich die Website zu besuchen. Was ja das eigentliche Ziel war.

     

    Es sollten nach Auffassung der Aufsichtsbehörden nur solche Auswahloptionen angeboten werden, die gleichwertig sind, wie z. B. "Cookies akzeptieren" und "Cookies ablehnen".


    Fazit MDS

    Welche konkreten Auswirkungen diese Auffassung haben wird, werden wir wohl erst im neuen Jahr erfahren. Gleichwohl empfehlen wir Ihnen jetzt schon, dass Sie Ihr Cookie-Consent-Tool überprüfen, um etwaige Auseinandersetzungen mit der Aufsichtsbehörde vorsorglich zu vermeiden.

     

    Wir sagen: Merry Christmas, danke liebe Aufsichtsbehörden und ein frohes neues Cookie-Jahr 2022!

    Cookiebot nicht DSGVO-konform?

    VG Wiesbaden erklärt Cookiebot für rechtswidrig

    9. Dezember 2021

    Das Verwaltungsgericht Wiesbaden hat in einem Eilverfahren mit Beschluss vom 1. Dezember 2021 - 6 L 738/21. WI den Einsatz von Cookiebot untersagt. Cookiebot ist ein Consent-Tool, welches die Einholung von Einwilligungen in das Setzen von Cookies ermöglicht („Cookie-Banner“). Anbieter von Cookiebot ist Cybot A/S (Dänemark). Der Einsatz sei aufgrund der Datenverarbeitung in den USA unzulässig.

     

    Ungewiss ist, ob sich die Rechtsansicht des Verwaltungsgerichtes durchsetzt. Gewiss ist, dass immer wieder Probleme im Zusammhang mit Drittlandsübermittlungen z. B. in die USA entstehen können.

    Fazit MDS

    Wenn Sie 100% sicher gehen wollen, um Datenschutzverstöße zu vermeiden, müsste man sich auf die Suche eines anderen Cookie-Consent-Tools machen. Ein solcher müsste aber ohne Datenübermittlungen in Drittländer einsetzbar sein. Ob das eine realistische Alternative sein kann, bleibt abzuwarten.

    verspätete Meldung eines datenschutz-vorfalls

    Bußgeld in Höhe von 475.000 € gegen booking.com

    9. April 2021

    Die niederländische Datenschutzbehörde hat gegen booking.com ein Bußgeld in Höhe von 475.000 € verhängt, weil das Unternehmen zu lange gebraucht hat, um einen Datenschutzvorfall zu melden.

     

    Was war passiert?

    Im Rahmen eines Telefonbetrugs gelang es Kriminellen, Hotelmitarbeiter dazu zu bringen, Log-in-Daten für Ihre Konten in einem booking.com-System preiszugeben. Auf diese Weise erhielten die Kriminellen Zugriff auf die Daten von mehr als 4000 Hotelgästen, die ein Hotelzimmer gebucht hatten. Zu den Daten gehörten Namen, Adressen und Telefonnummern sowie Details zur Buchung. Die Kriminellen erbeuteten zusätzlich Kreditkarteninformationen und auch die Sicherheitscodes. Sie gaben sich durch Phishing-Attacken in E-Mails oder am Telefon (Vishing-Attacke) als Beschäftigte von booking.com aus und versuchten damit an die Kreditkartendaten weiterer Opfer zu gelangen.

    Und wieder einmal: Phishing!

    booking.com-Kunden waren dem erhöhten Risiko ausgesetzt. erhebliche finanzielle Schäden zu erleiden. Indem sie sich in E-Mails oder am Telefon als Hotelmitarbeiter ausgaben, wollte die Kriminellen, Geld von den Opfern stehlen. Dies kann sehr glaubwürdig erscheinen, denn der Kriminelle weiß genau, wann der Hotelgast eine Buchung vorgenommen und welches Zimmer er gebucht hat. Fordert er den Hotelagast dann auf, die gebuchten Nächte zu bezahlen, entsteht nicht sofort ein Störgefühl.

    zu spät, zu spät...

     

    Statt  innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls am 13. Januar 2019 meldete booking.com den Datenschutzvorfall erst nach 22 Tagen, nämlich am 7. Februar 2019. Das war zu spät.

     

    Die Datenschutzbehörde verhängte das Bußgeld. Die verspätete Meldung sei ein schwerwiegender Verstoß. Datenschutzverletzungen können überall auftreten, selbst wenn man gute Vorsichtsmaßnahmen trifft. Aber um Schaden für Kunden und zukünftige Angriffe zu verhindern, müssen Verantwortliche Datenschutzvorfälle rechtzeitig melden. Schnelles Handeln ist essentiell, nicht zuletzt für die Betroffenen. Nach Erhalt einer Meldung kann die Datenschutzbehörde den Verantwortlichen anweisen, die Betroffenen sofort zu warnen. Dies kann verhindern, dass Kriminelle wochenlang Zeit haben, Opfer zu betrügen.

    Fazit MDS

    Datenschutzvorfälle im Zusammenhang mit Phishing und jetzt auch Smishing-Attacken treten zur Zeit sehr häufig auf. Die Kriminellen haben nicht nur große Konzerne im Visir. Wir empfehlen daher, solche Fälle ernst zu nehmen. Wird ein Angriff bemerkt, sollte schnell gehandelt werden:

    • Task-Force zusammentrommeln (z. B. Geschäftsführung, IT und Datenschutzbeauftragte)
    • Datenleck schließen,
    • Passwörter ändern,
    • Beschäftigte sensibilisieren und
    • prüfen ob eine Meldepflicht vorliegt.

    Und bitte nicht vergessen: Das muss alles innerhalb von 72 Stunden erfolgen.